EventBot es el último ítem en la interminable lista de malware que amenazan el ecosistema de Android. Descubierto en marzo de 2020 por investigadores de la firma de ciberseguridad Cybereason, este malware está diseñado para espiar en los desprevenidos y robar datos personales, especialmente información bancaria. Este malware se trata de un troyano en desarrollo, del cual ya existen 4 versiones flotando a lo largo y ancho de internet, cada una más peligrosa que la anterior.
EvenBot está diseñado para robar información sensible
A diferencia del malware promedio de anuncios para Android, EventBot es sigiloso y abusa de la función de accesibilidad de Android para acceder a información valiosa del usuario, al sistema y a datos almacenados en otras aplicaciones. Entrando en detalles, EventBot puede interceptar mensajes SMS y omitir los mecanismos de autenticación de dos factores.
No obstante, la mayor amenaza de este malware yace en su capacidad de atacar y tomar control de más de 200 aplicaciones bancarias y financieras diferentes, tales como Paypal, Revolut Barclays o Santander. Sobra decir que, al robar este tipo de información, EvenBot tiene el potencial de acceder a datos comerciales clave, incluidos datos financieros personales y empresariales.
Así es cómo funciona EventBot
De momento no hay razones para creer que EventBot esté presente en aplicaciones de la Play Store, en su lugar, el malware se disfraza de aplicaciones legítimas subidas a tiendas de APK y sitios web de dudosa reputación. En este sentido, se ha logrado observar al troyano posando como apps reconocidas, tales como Microsoft Word y Adobe Flash Player.
Una vez que se instala en el sistema, la app infectada solicita muchos permisos importantes, entre ellos a recibir/leer SMS, iniciar con el dispositivo, correr y usar datos en segundo plano, hacer solicitudes para instalar paquetes, ignorar la optimización de batería e incluso prevenir al procesador de reducir su consumo de energía y atenuar la pantalla.
Para el usuario inadvertido que concede permiso a las apps sin mayor consideración, este será el inicio de la infección. Una vez instalado, EventBot solicita al usuario acceso a los servicios de accesibilidad, y de esta forma gana la capacidad de funcionar como un keylogger y de recuperar notificaciones sobre otras aplicaciones instaladas y contenido de ventanas abiertas. Adicionalmente, en las versiones más recientes del malware, éste también pedirá permiso para correr en segundo plano antes de borrarse a sí mismo del launcher.
Este nuevo malware para Android se trata de una amenaza creciente y se sabe de buenas fuentes que sigue en desarrollo activo. Por dicha razón, se pueden esperar que aparezcan nuevas versiones en un futuro cercano con mejores técnicas de ofuscamiento. Asimismo, su principal arma son los servicios de accesibilidad, los cuales normalmente están destinados a personas con discapacidades, pero que en las manos incorrectas pueden hacer mucho daño.
Como siempre, se recomienda cautela a la hora de instalar cualquier app y de abstenerse a instalar APKs de fuentes que no sean de confianza.
Vía | Cybereason